✅ Аутентификация: Определение, Методы, Виды – Определение | SendPulse

Kerberos :

Kerberos – это протокол, который помогает в сетевой аутентификации. Это используется для проверки клиентов / серверов в сети, использующей криптографический ключ. Он предназначен для выполнения строгой аутентификации при отправке отчетов приложениям.

Некоторые преимущества Kerberos:

Он поддерживает различные операционные системы.
Ключ аутентификации распределяется намного эффективнее, чем публичный обмен.

Некоторые недостатки Kerberos:

Он используется только для аутентификации клиентов и используемых ими служб.
Он показывает уязвимость к мягким или слабым паролям.

Облегченный протокол доступа к каталогам (LDAP):

LDAP относится к облегченному протоколу доступа к каталогам. Это протокол, который используется для определения любых лиц, организаций и других устройств в сети, независимо от того, находятся они в общедоступном или корпоративном Интернете. Он практикуется как каталоги как услуга и является основанием для создания каталога действий Microsoft.

Некоторые преимущества LDAP:

Это автоматизированный протокол, который упрощает его модернизацию.
Он поддерживает существующие технологии и позволяет использовать несколько каталогов.

Некоторые недостатки LDAP:

Требуется опыт развертывания.
Серверы каталогов должны быть совместимы с LDAP для развертывания.

SAML :

SAML означает язык разметки утверждения безопасности, который основан на формате данных аутентификации на основе XML, который обеспечивает авторизацию между поставщиком удостоверений и поставщиком услуг. Он является продуктом Технического комитета служб безопасности OASIS.

Некоторые преимущества SAML:

Это снизило административные расходы для конечных пользователей.
Он обеспечивает единый вход для аутентификации между поставщиками услуг.

Некоторые недостатки SAML:

Это зависит от поставщика удостоверений.
Все данные хранятся в едином формате XML.

4.9 Аутентификация в Интернет

6.4.9 Аутентификация в Интернет
Семенов Ю.А. (ГНЦ ИТЭФ)

Аутентификационные требования вычислительных систем и сетевых протоколов варьируются в весьма широких пределах. Пароли, которые уязвимы для атак пассивного типа, не могут удовлетворить требованиям современного Интернет [CERT94]. А помимо пассивных атак в сетевой среде сплошь и рядом предпринимаются активные методы [Bellovin89, Bellovin92, Bellovin93, CB94, Stoll90]. Смотри Essential Guide to Identity & Access Management. Так как масштаб сетевых угроз нарастает лавинообразно, приходится разрабатывать все более изощренные алгоритмы аутентификации (идентификации) людей, машин и процессов. Вектор развития этой технологий направлен на многопараметрические методы аутентификации.

Пароли – старейшая технология аутентификации. Она имеет много уязвимостей: кража, перехват, подбор и т.д. Не следует пренебрегать и беспечносттью жертв, которые выбирают простые, легко угадываемые пароли. Кроме того 70% сотрудников используют одни и те же пароли для входа в разные сети и системы. Здесь нужно принимать во внимание тот факт, что в среднем пользователь имеет 40 разных аккаунтов и помнить 40 паролей весьма затруднительно. Именно по этой причине в 4 случаях из 5 пользователи повторно назначают одни и те же пароли для разных аккаунтов. 7% служащих компаний имеют слабые пароли. !0% пользователей используют один из 25 “плохих”, широкоизвестных паролей или пароли, установленные в устройстве или программе по-умолчанию.

В 81% случаев вредоносных вторжений хакеры используют “слабость” паролей или их кражу. (см. “Passwordless Authentication: How Giving Up Your Password Might Make You More Secure“, Thales).

Похожее: Значение слова «авторизация» в 5 словарях

Биометрические

Это самый дорогостоящий метод аутентификации. Он предотвращает утечку или кражу персональной информации. Проверка проходит по физиологическим характеристикам пользователя, например, по отпечатку пальца, сетчатке глаза, тембру голоса и даже ДНК.

В зависимости от количества используемых методов

Однофакторная. Используется только один метод.
Многофакторная. Используется несколько методов.

В зависимости от политики безопасности систем и уровня доверия

Односторонняя. Пользователь доказывает право доступа к ресурсу его владельцу.
Взаимная. Проверяется подлинность прав доступа и пользователя и владельца сайта. Для этого используют криптографические способы.

Чтобы защитить владельца сайта от злоумышленников, используют криптографические протоколы аутентификации.

Типы протоколов обусловлены тем, где происходит аутентификация — на PC или в сети.

Зачем нужна аутентификация

Аутентификация нужна для доступа к:

Соцсетям
Электронной почте
Интернет-магазинам
Форумам
Интернет-банкингу
Платежным системам

Комбинированные

Этот метод говорит сам за себя. Аутентификация происходит с использованием нескольких методов, например, парольных и криптографических сертификатов. Он требует специальное устройство для считывания информации.

Парольные

Самый распространенный метод. Аутентификация может проходить по одноразовым и многоразовым паролям. Многоразовый пароль задает пользователь, а система хранит его в базе данных. Он является одинаковым для каждой сессии. К ним относятся PIN-коды, слова, цифры, графические ключи. Одноразовые пароли — разные для каждой сессии. Это может быть SMS с кодом.

Пользовательские данные

Этот метод основывается на геоданных о местоположении пользователя с использованием GPS, а также использует информацию о точках доступа беспроводной связи. Недостаток заключается в том, что с помощью прокси-серверов можно подменить данные.

Протокол ipsec

Главная задача протокола IPSec это реализация безопасности передачи информации по сетям IP. IPSec гарантирует:

целостность — при передачи данные не будут искажены, дублированы и потеряны
конфиденциальность — предотвращает от несанкционированного просмотра
аутентичность отправителя

Доступность — протокол не реализует, это входит в задачу протоколов транспортного уровня TCP. Реализуемая защиты на сетевом уровне делает такую защиту невидимой для приложений. Протокол работает на основе криптографических технологий:

Протокол IPSec имеет следующие компоненты:

Компоненты ESP и АН, работают с заголовками и взаимодействуют с базами данных SAD и SPD для обозначения политики безопасности для данного пакета
Компонент обмена ключевых данных IKE
SPD — база данных политик безопасности
SAD — хранит список безопасных ассоциаций SA для исходящей и входящей информации

Ядро протокола IPSec составляет 3 протокола: AH (протокол аутентифицирующего заголовка), ESP (протокол инкапсулирующей защиты) и IKE (протокол согласования параметров управления ключами и виртуального канала). Архитектура стека протоколов IPSec показана на рис.7.

архитектура стека протоколов IPSec Рисунок — 7, архитектура стека протоколов IPSec

Протокол АН ответственен только за реализацию аутентификации и целостности информации, в то время как протокол ESP и реализует функции АН и алгоритмы шифрования. Протоколы IKE, AH и ESP работают следующим образом.

С помощью протокола IKE создается логическое соединение между 2 точками, которое имеет название безопасная ассоциация SA. При реализации такого алгоритма, происходит аутентификация конечных точек линии, и выбираются параметры защиты информации.

Похожее: Идентификация, аутентификация, авторизация - в чем разница? | IT-уроки

Нижнй уровень архитектуры основан на домене интерпретации DOI. Протоколы AH и ESP основаны на модульной структуре, разрешая выбор пользователю относительно используемых алгоритмов шифрования и аутентификации. Именно DOI согласует все моменты, и адаптирует IPSec под выбор пользователя.

Формат заголовка пакета AH и ESP показаны на рис.8. Протокол АН защищает весь IP-пакет, кроме полей в Ip-заголовке и поля TTL и типа службы, которые могут модифицироваться при передаче в сети.

Формат заголовков AH и ESP Рисунок — 8, формат заголовков AH и ESP

Протокол АН может работать в 2 режимах: транспортном и туннельном. Местоположение заголовка АН зависит от того, какой режим был задействован. В транспортном режиме заголовок исходного IP-пакета становится внешним заголовком, затем уже заголовок АН.

В таком режиме IP-адрес адресата/адресанта читабелен третьим лицам. В туннельном режиме в качестве заголовка внешнего IP-пакета создается новый заголовок. Это видно на рис.9. Также на рис.10 можно увидеть 2 режима работы протокола ESP. Более подробно об этих протоколах реализации протокола IPSec можно прочитать, к примеру в работе Шаньгина В.Ф. — «Защита информации в компьютерных системах и сетях».

режимы применения заголовка АН Рисунок — 9, режимы применения заголовка АН режимы применения ESP Рисунок — 10, режимы применения ESP

IPSec разрешает защитить сеть от множества сетевых атак, откидывая чужие пакеты до того, как они дойдут к уровню IP на узле. На узел могут войти те пакеты, которые приходят от аутентифицированных пользователей.

Протокол l2tp и l2f

Протокол L2TP основан на протоколе L2F, который был создан компанией Cisco Systems, как альтернатива протоколу PPTP. L2F — старая версия L2TP. Протокол L2TP был создан как протокол защищенного туннелирования PPP-трафика через сети с произвольной средой.

архитектура протокола L2TP Рисунок — 4, архитектура протокола L2TP

L2TP являет собой расширение протокола PPP с возможностью аутентификации удаленных пользователей, реализации защищенного виртуального коннекта и управления потоком информации.

Протокол L2TP использует для передачи данных UDP. На рис.5 видна структура пакета для передачи по туннелю L2TP.

ета для передачи по туннелю L2TL Рисунок — 5, структура пакета для передачи по туннелю L2TL

Протокол L2TP использует схемы, где туннель создается между сервером удаленного доступа провайдера и маршрутизатором локальной сети. Также протокол может открывать несколько туннелей, каждый из которых может использоваться для конкретного приложения.

Протокол PPTP не имеет такой возможности. В роли сервера удаленного доступа провайдера должен быть концентратор доступа LAC, который создает клиентскую часть протокола L2TL и реализует удаленному пользователю доступ к локальной сети через интернет. Схема показана на рис.6.

схема туннелирования по протоколу L2TL Рисунок — 6, схема туннелирования по протоколу L2TL

Соединение реализуется в 3 этапа:

Протокол L2TP работает поверх любого транспорта с коммуникацией пакетов. Также L2TP не определяет конкретные методы криптозащиты.

Протокол socks

Протокол SOCKS реализует алгоритмы работы клиент/серверных связей на сеансовом уровне через сервер-посредник или прокси-сервер. Изначально этот протокол создавался для перенаправления запросов к серверам от клиентских приложений, и возврата ответа. Такой алгоритм уже разрешает создавать функцию трансляции сетевых IP-адресов NAT.

Похожее: Идентификация, аутентификация и авторизация – в чем разница?

С помощью этого протокола межсетевые экраны и VPN могут реализовывать безопасное соединение между разными сетями. Также с помощью этого протокола, можно управлять этими системами на основе унифицированной стратегии. Относительно спецификации протокола SOCKS разделяют SOCKS-сервер, который ставят на шлюзы сети, и SOCKS-клиент, который ставят на конечные узлы.

Схема создания соединения по протоколу SOCKS v5 описана следующими шагами:

Запрос клиента перехватывает SOCKS-клиент на компьютере
После соединения с SOCKS-сервером, SOCKS-клиент отправляет все идентификаторы всех методов аутентификации, которые он может поддержать
SOCKS-сервер выбирает один метод. Если сервер не поддерживает ни один метод, соединение разрывается
Происходит процесс аутентификации
После успешной аутентификации SOCKS-клиент отправляет SOCKS-серверу IP или ВТЫ нужного узла в сети.
Далее сервер выступает в роли ретранслятора между узлом сети и клиентом

Схема работы по протоколу SOCKS показана на рис.12. Также SOCKS-серверу можно прописывать правила на контроль доступа к внешней сети шлюза. Подходят все правила, которые работают на обычном межсетевом экране.

схема работы по протоколу SOCKS Рисунок — 12, схема работы по протоколу socks

Протокол ssh

SSh — это протокол разрешающий реализовывать удаленное управление ОС и туннелирование ТСР-соединений. Протокол похож на работу Telnet, но в отличии от них, шифрует все, даже пароли. Протокол работает с разными алгоритмами шифрования. SSH-соединение может создаваться разными способами:

реализация socks-прокси для приложений, которые не умеют работать с ssh-туннелями
VPN-туннели также могут использовать протокол ssh

Обычно протокол работает с 22 портом. Также протокол использует алгоритмы электронно-цифровой подписи для реализации аутентификации. Также протокол подразумевает сжатия данных. Сжатие используется редко и по запросу клиента.

Советы по безопасности реализации SSH:

ssh Рисунок — 13, ssh

Протоколы ssl и tls

Сразу нужно отметить, что это один и тот же протокол. Сначала был SSL, но его однажды взломали. Его доработали и выпустили TLS. Конфиденциальность реализуется шифрованием данных с реализацией симметричных сессионных ключей. Сессионные ключи также шифруются, только на основе открытых ключей взятых из сертификатов абонентов. Протокол SSL предполагает следующие шали при установки соединения:

аутентификация сторон
согласование криптоалгоритмов для реализации
создание общего секретного мастер-ключа
генерация сеансовых ключей на основе мастер-ключа

Процесс аутентификации клиента сервером с помощью протокола SSL виден на рис.11.

Процесс аутентификации клиента сервером с помощью протокола SSL Рисунок — 11

К недостаткам TLS и SSL относят то, что они работают только с одним протоколом сетевого уровня — IP.

Протоколы защиты на сеансовом уровне

Сеансовый уровень — самый высокий уровень, на котором можно создать защищенный виртуальных канал.

Ресурсы

В этой статье детально рассмотрены элементы, факторы и способы аутентификации.
В этой статье объясняют, для доступа на какие сервисы нужна аутентификация и рассматривают классификацию её методов.

Обновлено: 31.07.2020

Элементы аутентификации

Субъект — пользователь
Характеристика субъекта — информация, предоставляемая пользователем для проверки подлинности.
Владелец системы аутентификации — владелец ресурса.
Механизм аутентификации — принцип проверки
Механизм авторизации — управление доступом